blog.icewolf.ch

Let's talk about IT!
posts - 1616, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Tuesday, October 06, 2020

Office 365 ATP (Safe Links / Safe Attachments)

Hallo zusammen,

Ich habe mir kürzlich einen Trial für Office 365 ATP Plan1 bestellt. Die Unterscheide zwischensieht man in nachfolgender Tabelle. 

Office 365 Advanced Threat Protection

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/office-365-atp?view=o365-worldwide

Wie gesagt, habe ich mir eine kostenlose Testversion davon im M365 Admin Center besorgt.

Anschliessend muss die Lizenz dem Benutzer zugewiesen werden.

Im Security & Compliance Admin Center sind zwei neue Policies erschienen

Safe Links

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/set-up-atp-safe-links-policies?view=o365-worldwide

Safe Attachments

https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/set-up-atp-safe-attachments-policies?view=o365-worldwide

Tests mit Safe Links

Ich habe einige Tests mit Safe Links gemacht. SafeLinks erkennt nur Links mit <a href> tag und ersetzt den Link durch eine https://nam01.safelinks.protection.outlook.com URL.

In Outlook on the Web werden nur Links mit <a href> Tag erkannt und anklickbar gemacht. Der anklickbare Link ist durch SafeLinks geschützt.

Outlook for Windows erkennt auch den Link ohne <a href> und macht ihn anklickbar. Der zweite Link ist nicht durch SafeLinks geschützt.

Dieses Verhalten kann jedoch über die Einstellungen kontrolliert werden. Per Default werden die Links jedoch erkannt.

Outlook Optionen --> Email --> Editoroptionen

Dokumentprüfung --> Auto-Korrektur-Optionen

Links während dem schreiben in Hyperlinks umwandeln

Links beim lesen in Hyperlinks umwandeln.

Setzt man diese Optionen, ist der zweite Link nicht mehr anklickbar.

Allerdings wirken diese Settings nur auf gemanagte Geräte welche entweder über Active Directory GPO oder über Endpoint Manager mit den entsprechenden Richtlinien konfiguriert werden.

Die Blocked URL führt auf eine Blocking Seite

In Outlook Mobile ist der zweite Link anklickbar. Hier gibt es meines Wissens keine Möglichkeit den Link nicht anklickbar zu machen.

  

Safe Attachments

In diesem Beispiel habe ich eine Office Datei per Email empfangen und man sieht das dynamic Delivery.

Fazit:

Die Erkennung der Links von SafeLinks könnte noch verbessert werden.

Aber grundsätzlich löst dies das Problem von BYOD Szenarien. In der Firma ist man häufig durch einen Web Proxy geschützt, welcher den Content prüft. Das gilt aber nicht, wenn man mit dem Laptop Mobil oder vom Homeoffice aus unterwegs ist. Und auch die Smartphones und Tablets werden durch diesen Schutz profitieren.

Liebe Grüsse
Andres Bohren

posted @ Wednesday, October 07, 2020 7:58 AM | Filed Under [ Security O365 ]

How to control (the many ways) of Email forwarding in Exchange Online

Hallo zusammen,

Wenn es um das Thema E-Mail Weiterleitungen geht, dann sollte man sich folgenden Artikel durchlesen.

The many ways to block automatic email forwarding in Exchange Online

https://techcommunity.microsoft.com/t5/exchange-team-blog/the-many-ways-to-block-automatic-email-forwarding-in-exchange/ba-p/607579

Im Prinzip gib es folgende Möglichkeiten zum Weiterleiten von EMails.

  • Forwarding über ein Mail Enabled AD Objekt (ForwardingAddress)
  • Forwarding mittels Emailadresse (ForwardingSMTPAddress)
  • Outlook Regel

Anfangs September wurde ein neues Setting zum Kontrolieren der E-Mail  Weiterleitungen vorgestellt.

Konfigurieren der externen e-Mail-Weiterleitung in Office 365

https://docs.microsoft.com/de-de/microsoft-365/security/office-365-security/external-email-forwarding?view=o365-worldwide

Set-HostedOutboundSpamFilterPolicy

https://docs.microsoft.com/en-us/powershell/module/exchange/set-hostedoutboundspamfilterpolicy?view=exchange-ps

Auch wenn es im Message Center "ATP" heiss, auch mit E3 Lizenzen habe ich Zugriff auf dieses Setting https://protection.office.com/antispam

Antispameinstellungen --> Filterrichtlinie für ausgehendes Spam --> Automatische Weiterleitung

Oder man macht das einfach per Security & Compliance PowerShell

Connect to Security & Compliance Center PowerShell

https://docs.microsoft.com/en-us/powershell/exchange/connect-to-scc-powershell?view=exchange-p

Get-HostedOutboundSpamFilterPolicy | fl

Set-HostedOutboundSpamFilterPolicy -AutoForwardingMode On/Off/Automatic

Weiterleitungen prüfen

Ob und wie E-Mails Weitergeleitet werden, findet man über den "Weiterleitungsbericht" heraus. https://protection.office.com/reportv2?id=MailFlowForwarding&pivot=Name

Man sieht, wieviel per Outlook Regel und wie viel per SMTP Weiterleitung weitergeleitet werden.

Die Details dazu kann man ebenfalls anschauen.

Die SMTP Forwardings können auch über folgendes Script dokumentiert werden

###############################################################################
# Report Exchange Online Forwardings
# ForwardingAddress = Forwarding via AD Object
# ForwardingSmtpAddress = Emailadress (Can be set by User)
# V1.0 29.09.2020 Andres Bohren
###############################################################################
 
Connect-EXOnline
$Mailboxes = Get-EXOMailbox -Properties DeliverToMailboxAndForward, ForwardingAddress, ForwardingSmtpAddress -ResultSize Unlimited | Where {$_.ForwardingAddress -ne $null -or $_.ForwardingSmtpAddress -ne $null}
 
#AcceptedDomainS
$Domains = (Get-AcceptedDomain).domainName
 
#RemoteDomains
$RemoteDomains = Get-RemoteDomain | where {$_.AutoForwardEnabled -eq $true}
Foreach ($RemoteDomain in $RemoteDomains)
{
$DomainName = $RemoteDomain.DomainName
#Replace "*.securitrans.ch" with "securitrans.ch"
$DomainName = $DomainName.Replace("*.", "")
 
$Domains += "$DomainName"
}
 
#Contains AcceptedDomain and Domains that Allow Forwarding
Write-Host "Internal and RemoteDomains that allow Forwarding" -ForegroundColor Green
$Domains
 
#Create CSV Header
$shortdate = (get-date -f yyyyMMdd)
$CSVFilePath = "$home\Downloads\EmailForwarding$Shortdate.csv"
 
#Check if CSV already exists and delete
if (Test-Path $CSVFilePath)
{
Remove-Item $CSVFilePath
}
 
Add-Content -Path $CSVFilePath -Value "PrimarySmtpAddress;DisplayName;Identity;ForwardingAddress;ForwardingSmtpAddress;DeliverToMailboxAndForward;ResolvedForwardingAddress;InternalorAllowedForwarding"
 
#Loop through Mailboxes with Forwarding
Foreach ($Mailbox in $Mailboxes)
{
 
$PrimarySmtpAddress = $Mailbox.PrimarySmtpAddress
Write-Host "Working On: $PrimarySmtpAddress"
 
$DisplayName = $Mailbox.DisplayName
$Identity = $Mailbox.Identity
$ForwardingAddress = $Mailbox.ForwardingAddress
$ForwardingSmtpAddress = $Mailbox.ForwardingSmtpAddress
$DeliverToMailboxAndForward = $Mailbox.DeliverToMailboxAndForward
$ResolvedForwardingAddress = ""
$InternalorAllowedForwarding = ""
 
#Forwarding via AD Object
If ($ForwardingAddress -ne $null)
{
#Forwarding via AD Object / Contact
$ADRecipient = Get-Recipient -identity $ForwardingAddress
$ResolvedForwardingAddress = $ADRecipient.PrimarySmtpAddress                
 
If ($Domains -match $ForwardingDomain)
{
$InternalorAllowedForwarding = "True"
} else {
$InternalorAllowedForwarding = "False"
}                
 
}
 
# User Forwarding
If ($ForwardingSmtpAddress -ne $null)
{
$ForwardingSmtpAddress = $Mailbox.ForwardingSmtpAddress
$ForwardingDomain = $ForwardingSmtpAddress.Split("@")[1]
 
#Debug
#Write-Host "ForwardingDomain: $ForwardingDomain" -ForegroundColor Magenta
 
If ($Domains -match $ForwardingDomain)
{
$InternalorAllowedForwarding = "True"
} else {
$InternalorAllowedForwarding = "False"
}                
}
 
#WriteLine in CSV
Add-Content -Path $CSVFilePath -Value "$PrimarySmtpAddress;$DisplayName;$Identity;$ForwardingAddress;$ForwardingSmtpAddress;$DeliverToMailboxAndForward;$ResolvedForwardingAddress;$InternalorAllowedForwarding"
      
}
Write-Host "File is written to: $CSVFilePath"
 
 
Write-Host "###############################################################################"
Write-Host "Check also: Security and Compliance Forwarding Report"
Write-Host "https://protection.office.com/reportv2?id=MailFlowForwarding&pivot=Name"
Write-Host "###############################################################################"

SMTP Weiterleitung über Exchange Admin Center (ForwardingAddress)

In den folgenden Screenshots zeige ich euch, wie der Exchange Administrator (oder Recipient Administrator) im Exchange Admin Center eine Emailweiterleitung einrichtet.

In den Postfachfunktionen, den Nachrichtenfluss anklicken

Weiterleitung aktivieren und ein Emailaktiviertes Objekt aus der Globalen Adressliste auswählen,

Das ganze kann man auch in der PowerShell anschauen.

Get-Mailbox -Identity <identity> | fl forwar*

SMTP Weiterleitung über Microsoft 365 Admin Center (ForwardingSMTPAddress)

Neu gibt es im Admin Center unter den Benutzern kann man unter "E-Mail" die Weiterleitung konfigurieren

Hier braucht es kein Emailaktiviertes Objekt im (Azure) Active Directory, sondern einfach nur eine Emailadresse.

Das ganze kann man auch in der PowerShell anschauen.

Get-Mailbox -Identity <identity> | fl forwar*

Man sieht, dass hier das Attribut "ForwardingSmtpAddress" benutzt wird.

Diese Art Weiterleitung löst jedoch auch gleich einen Alert in M365 aus.

Outlook on the Web (ForwardingSMTPAddress)

Im OWA kann ein Benutzer ebenfalls eine Weiterleitung einrichten.

Das ganze kann man auch in der PowerShell anschauen.

Get-Mailbox -Identity <identity> | fl forwar*

Wie man sieht, wird hier ebenfalls das Attribut "ForwardingSMTPAddress" gesetzt.

Auch hier wird ein Forwarding Alert ausgelöst.

RemoteDomain

Im Gegensatz zum Attribut ForwardingAddress, ist beim Attribut ForwardingSMTPAddress das Setting der RemoteDomain wichtig.

Get-RemoteDomain
Get-RemoteDomain -identity <RemoteDomain> | fl

Weiterleitung per Outlook Regel

Natürlich kann man auch noch per Outlook Regel EMails weiterleiten. Das hat den Vorteil, dass nicht alle Nachrichten weitergeleitet werden, sondern Bedingungen für die Weiterleitung gemacht werden können. Beispielsweise nur bei einem bestimmten Absender oder Betreff.

So sieht ein Weitergeleitetes Email einer Outlook Regel aus.

Umleiten funktioniert nur mit internen Accounts

Transport Regel

Es gibt auch noch die Möglichkeit, die Outlook Weiterleitungen über eine Transport Regel abzufangen.

Zusammenfassung

Ich habe das ganze ausgiebig getestet und in einer Tabelle zusammengefasst

AutoForwardingMode

ForwardingAddress (External)

ForwardingAddress (Internal)

ForwardingSMTPAddress (External)

ForwardingSMTPAddress (Internal)

Outlook Rule Forwarding (External)

Outlook Rule Forwarding (Internal)

Outlook Rule Umleiten (Internal)

Off

Nein

JA

Nein

JA

Nein

JA

JA

Off + RemoteDomain

Nein

 

Nein

 

Nein

 

 

On

JA

JA

Nein

JA

Nein

JA

JA

On + RemoteDomain

JA

 

JA

 

JA

 

 

Automatic

Nein

JA

Nein

JA

Nein

JA

JA

Automatic +

RemoteDomain

Nein

 

Nein

 

Nein

 

 

Extern weiterleiten geht nur wenn

  • AutoForwardingMode = On
  • Admin Forwarding an AD Objekt (ForwardingAddress)
  • Oder
  • Bei RemoteDomain erlaubt ist (Outlook Regel und ForwardingSmtpAddress)
  • Keine Transport Regel gesetzt ist welche Client Forwarding blockt

Ich habe versucht das ganze auch noch zu visualisieren.

Hoffe das hilft dem einen oder anderen.

Update:

Ein Kollege hat mich noch auf die Weiterleitung von Power Automate Mails aufmerksam gemacht. Danke Olaf!

Block forwarded Email from Power Automate

https://docs.microsoft.com/en-us/power-platform/admin/block-forwarded-email-from-power-automate

Grüsse
Andres Bohren

posted @ Tuesday, October 06, 2020 10:37 PM | Filed Under [ Exchange ]

AAD Connect and Conditional Access Error

Hallo zusammen,

Als ich mich gestern ins M365 Admin Center eingeloggt habe, wurde ich von einer Fehlermeldung vom Azure AD Connect (AAD Connect) begrüsst. Die Synchronisierung zwischen dem lokalen Active Directory und dem Azure Active Directory funktioniert nicht mehr.

Also habe ich mich kurz auf dem Server eingeloggt, wo AAD Connect installiert ist und einen Sync Versuch gestartet

Start-ADSyncSyncCycle -PolicyType delta

Das wurde aber mit heftigen Fehlermeldungen beantwortet

Start-ADSyncSyncCycle : System.Management.Automation.CmdletInvocationException: System.InvalidOperationException:
Showing a modal dialog box or form when the application is not running in UserInteractive mode is not a valid operation. Specify the Service Notification or DefaultDesktopOnly style to display a notification from a service
application.

Ich hatte am Freitag mit den AAD Conditional Access rumgespielt. Der Sync Account muss von der "Require MFA for all users" ausgeschlossen sein.

Ich habe das über eine Gruppe gelöst.

Danach hat der Sync wieder tadellos funktioniert.

Start-ADSyncSyncCycle -PolicyType delta

Im Portal sieht auch wieder alles gut aus.

Grüsse

Andres Bohren

posted @ Tuesday, October 06, 2020 8:36 AM | Filed Under [ O365 Azure ]

Powered by:
Powered By Subtext Powered By ASP.NET